Blaster
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Blaster as PDF for free.
More details
- Words: 1,660
- Pages: 5
ﻣﻘﺪﻣﻪ ﭘﺲ از ﺁﻧﮑﻪ ﺳﺎﯾﺖ ﻣﺎﮐﺮوﺳﺎﻓﺖ و هﻤﭽﻨﻴﻦ windowsupdate.comدر ﺳﺎﻋﺖ 2:14ﺑﻪ وﻗﺖ اﯾﺮان ،در ﺣﺪود دو ﺳﺎﻋﺖ ﻏﻴﺮ ﻗﺎﺑﻞ دﺳﺘﺮس ﺷﺪ .ﻣﺴﺌﻮﻻن اﻣﻨﻴﺘﯽ ﻣﺎﮐﺮوﺳﺎﻓﺖ اﻗﺪام هﺎی ﺧﻮد را ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﯾﻦ ﺣﻤﻠﻪ DoSﺁﻏﺎز ﻧﻤﻮدﻧﺪ DoS ) .ﯾﮑﯽ از روش هﺎی ﻣﻮرد ﻋﻼﻗﻪ هﮑﺮان ﻣﯽ ﺑﺎﺷﺪ ﺑﻪ ﺻﻮرﺗﯽ ﮐﻪ ﺑﺎ اﯾﺠﺎد ﺗﺮاﻓﻴﮏ در ﺷﺒﮑﻪ ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن و اﺧﺘﻼل در ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﺷﻮﻧﺪ ( ﻧﮑﺘﻪ DoS :ﻣﺨﻔﻒ ﮐﻠﻤﻪ Denial Of Serviceﻣﯽ ﺑﺎﺷﺪ. ﭘﺲ از ﺻﺮف ﻣﺪت زﻣﺎن ﮐﻮﺗﺎﻩ ﻣﺴﺌﻮﻻن اﻣﻨﻴﺘﯽ ﺳﺎﯾﺖ ﻣﺎﮐﺮوﺳﺎﻓﺖ ،ﺳﺎﯾﺖ windowsupdate.comرا ﺑﻪ windowsupdate.microsoft.comﺗﻐﻴﻴﺮ دادن و ﺳﭙﺲ ﺑﺎ ﺗﻐﻴﻴﺮات در ﺳﻴﺴﺘﻢ DNSﺧﻮد ﺑﺎﻋﺚ از ﺑﻴﻦ رﻓﺘﻦ اﯾﻦ ﺗﺤﺪﯾﺪ ﺷﺪﻧﺪ .در ﻋﻴﻦ ﺣﺎل ﯾﮑﯽ از ﻧﺴﺨﻪ هﺎی ﻟﻴﻨﻮﮐﺲ را ﮐﻪ در ﺑﺮاﺑﺮ ﺣﻤﻼت DoSﻣﻘﺎوم ﻣﯽ ﺑﺎﺷﺪ را ﺑﺮای اﯾﻦ وب ﺳﺎﯾﺖ اﻧﺘﺨﺎب ﻧﻤﻮدﻧﺪ ) .ﺑﺮای اوﻟﻴﻦ ﺑﺎر ﻣﺎﮐﺮوﺳﺎﻓﺖ ﻋﻠﻨﺎ و ﺁﺷﮑﺎرا از ﻟﻴﻨﻮﮐﺲ ﺑﻪ ﺟﺎی ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺿﻌﻴﻒ ﺧﻮد اﺳﺘﻔﺎدﻩ ﻧﻤﻮد (
– RPC – Remote Procedure Callﯾﮏ ﭘﺮوﺗﮑﻞ ﻣﯽ ﺑﺎﺷﺪ و در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز ﻧﻴﺰ ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد .اﯾﻦ ﭘﺮوﺗﮑﻞ ﯾﮏ ﻣﮑﺎﻧﻴﺰم InterProcessاﯾﺠﺎد ﻣﯽ ﮐﻨﺪ .اﯾﻦ Processاﯾﻦ اﺟﺎزﻩ را ﻣﯽ دهﺪ ﮐﻪ ﯾﮏ ﺑﺮﻧﺎﻣﻪ از ﯾﮏ ﮐﺎﻣﭙﻴﻮﺗﺮی ﺑﻪ ﮐﺪ اﺟﺮاﯾﯽ ﺑﺮ روی ﯾﮏ ﺳﻴﺴﺘﻢ دﯾﮕﺮ ﻣﻨﺘﻘﻞ ﺷﻮد RPC .ﺧﻮد ﻧﻴﺰ از – OSF – Open Software Foundationﮔﺮﻓﺘﻪ ﺷﺪﻩ اﺳﺖ ،ﭘﺲ از ﺁن ﻣﺎﮐﺮوﺳﺎﻓﺖ ﺑﺎ اﻓﺰودن ﭼﻨﺪ ﻣﺤﺼﻮل دﯾﮕﺮ ،ﺑﺮای ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺧﻮد ﻣﺤﺼﻮل ﺟﺪﯾﺪو ﭘﺮﮐﺎرﺑﺮدی را اﺿﺎﻓﻪ ﻧﻤﻮد. اﯾﻦ ﻣﺸﮑﻞ اﻣﻨﻴﺘﯽ در ﻗﺴﻤﺘﯽ از RPCﮐﻪ در ارﺗﺒﺎط ﺑﺎ ﺗﻐﻴﻴﺮ ﭘﻴﻐﺎم در TCP/IPﻣﯽ ﺑﺎﺷﺪ ،ﭘﺪﯾﺪ ﺁﻣﺪﻩ اﺳﺖ .ﺑﻪ اﯾﻦ دﻟﻴﻞ ﮐﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ رﺳﻴﺪﮔﯽ ﻧﺎدرﺳﺖ ﺑﻪ ﭘﻴﻐﺎم هﺎ ﺑﻪ ﻋﻤﻞ ﻣﯽ ﺁورد .اﯾﻦ ﺁﺳﻴﺐ ﭘﺬﯾﺮی ﺑﻪ ﺧﺼﻮص ،در DCOM – Distribute Component Object Modet ﮐﻪ ﺑﺮ روی RPCﻗﺮار دارد ﺑﻴﺸﺘﺮ ﺑﻪ ﭼﺸﻢ ﻣﯽ ﺧﻮرد. ﺑﺎ ﭘﻴﺪاﯾﺶ اﯾﻦ ﻣﺸﮑﻞ هﮑﺮ ﻗﺎدر اﺳﺖ از راﻩ دور دﺳﺘﺮﺳﯽ ﮐﺎﻣﻞ ﺑﺮ روی ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ داﺷﺘﻪ ﺑﺎﺷﺪ و ﺳﭙﺲ ﺑﺎ ﺑﺮﻧﺎﻣﻪ هﺎﯾﯽ ﻧﻈﻴﺮ Netcatو TFTPاز اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ اﺳﺘﻔﺎدﻩ ﻧﻤﺎﯾﺪ. : NetCatﻧﺖ ﮐﺖ ﮐﻪ ﺑﻪ ﭼﺎﻗﻮی هﻤﻪ ﮐﺎرﻩ ارﺗﺶ اﻟﮑﺘﺮوﻧﻴﮑﯽ ﺳﻮﺋﻴﺲ ﻣﻌﺮوف اﺳﺖ .ﺑﻪ ﻧﻔﻮذﮔﺮ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دهﺪ ﮐﻪ ﺑﻪ ﭘﻮرت هﺎی ﻣﺨﺘﻠﻒ در ﺷﺒﮑﻪ و ...ﻣﺘﺼﻞ ﺷﻮد .ﺑﺮای ﻣﺜﺎل از راﻩ دور ﻓﺎﯾﻞ اﺟﺮا ﮐﻨﺪ و . ... : TFTPﯾﮑﯽ از ﺑﺴﺘﮕﺎن FTPﻣﯽ ﺑﺎﺷﺪ ﮐﻪ وﻇﻴﻔﻪ اﻧﺘﻘﺎل اﻃﻼﻋﺎت را داراﺳﺖ.
اﯾﻦ ﮐﺮم هﺎ ﺑﺎ اﺳﺘﻔﺎدﻩ از ﺁﺳﻴﺐ ﭘﺬﯾﺮی وﯾﻨﺪوز از ﭘﻮرت 135وارد ﺳﻴﺴﺘﻢ ﻣﯽ ﺷﻮﻧﺪ و ﺑﺴﺘﻪ ﺑﻪ ﻧﻮع ﮐﺮم ﮐﺎرهﺎی ﻣﺘﻔﺎوﺗﯽ را اﻧﺠﺎم ﻣﯽ دهﻨﺪ ،از ﻣﻌﻤﻮﻟﺘﺮﯾﻦ ﮐﺎرهﺎ ،اﻗﺪام ﺑﻪ Denial Of Serviceﺑﺮ روی windowsupdate.comﻣﯽ ﺑﺎﺷﺪ. ﻧﮑﺘﻪ :ارﺳﺎل ﯾﮏ SYN FLOODﺑﺮ روی ﭘﻮرت 80ﺑﺮای windowsupdate.comﮐﻪ دارای 50ﻋﺪد Packets HTTPدر هﺮ دﻗﻴﻘﻪ ﻣﯽ ﺑﺎﺷﺪ و هﺮ ﭘﮑﺖ دارای 40ﺑﺎﯾﺖ. اﻗﺪام ﺑﻪ ﺣﻤﻼت داس ﺑﺮ روی رﻧﺞ هﺎی IP ﺑﺎﻋﺚ Crashﮐﺮدن DCOMﻣﯽ ﺷﻮد و در ﻧﺘﻴﺠﻪ ﮐﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﭘﺲ از 1دﻗﻴﻘﻪ راﻩ اﻧﺪازﻩ ﻣﯽ ﺷﻮد.
ﻧﮑﺘﻪ :اﯾﻦ ﮐﺮم هﺎ از ﭘﻮرت هﺎی TCP 4444و از ﭘﻮرت UDP 69ﮐﻪ ﺑﺮای ﻧﺮم اﻓﺰار TFTPﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد ﻧﻴﺰ ﺟﻬﺖ ﻣﻨﺘﺸﺮ ﺷﺪن اﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﻨﺪ. ﻧﮑﺘﻪ :اﯾﻦ ﮐﺮم هﺎ ﺧﻮد را ﺑﺮ روی RUNرﺟﻴﺴﺘﺮی ﻗﺮار ﻣﯽ دهﻨﺪ ﺗﺎ ﭘﺲ از هﺮ ﺑﺎر راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﺑﺮ روی ﺳﻴﺴﺘﻢ اﺟﺮا ﺷﻮﻧﺪ.
: W32Blaster ﺗﻮﺿﻴﺢ ﻣﺨﺘﺼﺮ :اﯾﻦ ﻧﺴﺨﻪ را ﻣﯽ ﺗﻮان ﭘﺪر ﮐﺮم هﺎی ﺑﻠﺴﺘﺮ ﻧﺎم ﮔﺬاری ﮐﺮد ﺣﺠﻢ 6.176 :ﺑﺎﯾﺖ ﭘﺲ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﻓﺎﯾﻞ msblastرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی = “ms blast.exe “ windows auto updateرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ. و در اداﻣﻪ ﺧﻄﺎب ﺑﻪ ﻣﻮﺳﺲ ﻣﺎﮐﺮوﺳﺎﻓﺖ : I Just Want to Say Love You San Billy Gates Why Do You Make This Possible? Stop Maiking Money And Fix Your Software : W32Blaster.B ﺗﻮﺿﻴﺢ :اﯾﻦ ﻧﺴﺨﻪ ﻃﺒﻖ ﺁﻣﺎر ﮔﺮوﻩ اﻣﻨﻴﺘﯽ Hat-Squadدر اﯾﺮان ﺑﻴﺸﺘﺮ ﺑﻪ ﭼﺸﻢ ﻣﯽ ﺧﻮرد. ﺣﺠﻢ 7.200 :ﺑﺎﯾﺖ ﭘﺲ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﻓﺎﯾﻞ penis32.exeرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی ” “peinis32.exe= updatw Windows autoدر ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ : W32Blaster.C ﺗﻮﺿﻴﺢ :اﯾﻦ ﻧﺴﺨﻪ ﻧﻴﺰ ﻣﺘﺸﮑﺮ از ﯾﮏ Backdoorﺑﻪ هﻤﺮاﻩ ﯾﮏ ﺗﺮوﺟﺎن در ﮐﻨﺎر ﮐﺮم ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﮐﺮم ﭘﺲ از ورود ﻓﺎﯾﻞ Teekids.exe را در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ و ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی “ “ Teekids.exe = .. Microsoft Intel XPرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ. ﻧﮑﺘﻪ :ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ اﯾﻦ ﮐﺮم از 3ﻓﺎﯾﻞ اﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﻋﺒﺎرﺗﻨﺪ از : : Index.exeدر اﺑﺘﺪا اﯾﻦ ﻓﺎﯾﻞ وارد ﮐﺎﻣﭙﻴﻮﺗﺮ ﺷﺪﻩ ﺳﭙﺲ ﻗﻄﻌﺎت دﯾﮕﺮ ﮐﺮم را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺗﺤﺖ ﻋﻨﻮان W32Blaster.C.Worm ﺗﻮﺳﻂ ﺿﺪ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد. ﺣﺠﻢ 32.045 :ﺑﺎﯾﺖ : Root32.exeﯾﮏ ﺗﺮﮐﻴﺐ Backdoorﮐﻪ ﺑﺎ ﻧﺎم Lithiumﺗﻮﺳﻂ ﺿﺪ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد. ﺣﺠﻢ 19.798 :ﺑﺎﯾﺖ : Teekids.exeﻓﺎﯾﻞ اﺻﻠﯽ ﮐﺮم ﮐﻪ ﺑﺎ ﻧﺎم W32Blaster.C.Wormﺗﻮﺳﻂ ﺁﻧﺘﯽ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد. ﺣﺠﻢ 5.360 :ﺑﺎﯾﺖ : W32Blaster.D ﺗﻮﺿﻴﺢ :اﯾﻦ ﮐﺮم ﻧﻴﺰ ﻣﺎﻧﻨﺪ ﻧﺴﺨﻪ اول در رﺟﻴﺴﺘﺮی ﺧﻄﺎب ﺑﻪ ﺑﻴﻞ ﮔﻴﺘﺲ ﺳﺨﻦ ﻣﯽ ﮔﻮﯾﺪ. ﺣﺠﻢ 11.776 :ﺑﺎﯾﺖ
ﭘﺲ از ورود ﻓﺎﯾﻞ Mspatchرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی “mspatch.exe = AntiVIrus “ Nontonرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUﻗﺮار ﻣﯽ دهﺪ. ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ : I Just Want To Say Love You SAN Billy Gates Why Do you Make This possible? Stop Making Money And Fix Your Software : W32Blaster.E ﺗﻮﺿﻴﺢ :اﯾﻦ ﮐﺮم ﭘﺲ از اﺟﺮا اﻗﺪام ﺑﻪ DoSﺁی ﭘﯽ 127.0.0.1ﻣﯽ ﮐﻨﺪ ) .اﯾﻦ ﺁی ﭘﯽ ،در هﻤﻪ ﮐﺎﻣﭙﻴﻮﺗﺮهﺎ رزرو ﺷﺪﻩ ﻣﯽ ﺑﺎﺷﺪ و ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻧﻤﯽ ﮔﻴﺮﻧﺪ وﻟﯽ ﺻﺮﻓﺎ ﺑﺮای اﺳﺘﻔﺎدﻩ هﻤﺎن ﮐﺎﻣﭙﻴﻮﺗﺮ ﺑﺮای ﺧﻮد ﻣﻮرداﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد( . ﺣﺠﻢ 6.176 :ﺑﺎﯾﺖ ﭘﺲ از اﺟﺮا ﻓﺎﯾﻞ Mslaugh.exeرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .و ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی = “ mslaugh.exe “ windows automationرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ. و ﺳﭙﺲ ﭘﻴﻐﺎم Forget The Promise for me B/DAY this particular strain to me ANG3L – hope yer enjoying yerself and don’t I Dedicate را در رﺟﻴﺴﺘﺮی ﻗﺮار ﻣﯽ دهﺪ. : W32Blaster.F ﺗﻮﺿﻴﺢ :ﺑﻪ ﻧﻈﺮ ﺑﺴﻴﺎری از ﻣﺴﺌﻮﻻن اﻣﻨﻴﺖ اﯾﻦ ﺁﺧﺮﯾﻦ ﻧﺴﺨﻪ از ﮐﺮم ﺑﻠﺴﺘﺮ ﻣﯽ ﺑﺎﺷﺪ. ﺣﺠﻢ 11.808 : اﯾﻦ ﮐﺮم ﻧﻴﺰ ﭘﺲ از اﺟﺮا Enbiei.exeرا در windows/system32را ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ در رﺟﻴﺴﺘﺮی www.hidro.4t.comرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ
= “ Enbiei.exe
در ﺻﻮرﺗﯽ ﮐﻪ ﯾﮑﯽ از اﯾﻦ ﮐﺮم هﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ را ﺁﻟﻮدﻩ ﻧﻤﻮدﻩ اﻧﺪ ﺑﻪ ﺗﺮﺗﻴﺐ ﻣﺮاﺣﻞ زﯾﺮ را ﻣﺮﺣﻠﻪ ﺑﻪ ﻣﺮﺣﻠﻪ اﻧﺠﺎم دهﻴﺪ : ﺧﺎرج ﮐﺮدن از ﻓﺎﯾﻞ هﺎی اﺟﺮاﯾﯽ اﺑﺘﺪا ﮐﻠﻴﺪ هﺎی CTRL+ALT+DELETرا ﺑﺎ هﻢ ﺑﻔﺸﺎرﯾﺪ .ﺳﭙﺲ دﮐﻤﻪ Processeرا ﻓﺸﺎر دهﻴﺪ و ﺑﻪ ﺟﺴﺘﺠﻮی ﻓﺎﯾﻞ هﺎ ) ﮐﻪ در ﺑﺎﻻ ﺑﻪ ﺁﻧﻬﺎ اﺷﺎرﻩ ﺷﺪ ( ﺑﭙﺮدازﯾﺪ و ﭘﺲ از ﯾﺎﻓﺘﻦ ﯾﮏ ﺑﺎر ﺑﺮ روی ﺁﻧﻬﺎ ﮐﻠﻴﮏ ﭼﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ دﮐﻤﻪ End Processرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ. ﻧﮑﺘﻪ :در اﯾﻦ ﻣﮑﺎن ﻓﺎﯾﻞ هﺎﯾﯽ ﮐﻪ در هﻤﻴﻦ ﻟﺤﻈﻪ در ﺳﻴﺴﺘﻢ ﺷﻤﺎ در ﺣﺎل اﺟﺮا ﻣﯽ ﺑﺎﺷﻨﺪ ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ و ﻧﺸﺎن دادﻩ ﻣﯽ ﺷﻮد. ﻧﮑﺘﻪ :ﻣﻌﻤﻮﻻ ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﺎن ﺑﺎ ﻧﻮﺷﺘﻦ ﯾﮏ ﺧﻂ در ﺑﺮﻧﺎﻣﻪ ﺧﻮد ،ﺑﻪ وﯾﺮوس اﻋﻼم ﻣﯽ ﮐﻨﻨﺪ در ﺻﻮرﺗﯽ ﮐﻪ ﺳﻴﺴﺘﻢ در ﺣﺎﻟﺖ ﺧﺎﻣﻮش ﺷﺪن اﺳﺖ ،ﺑﻪ رﺟﻴﺴﺘﺮی و ﺁدرس ﺷﺎﺧﻪ وﯾﻨﺪوز رﻓﺘﻪ و ﻧﮕﺎﻩ ﮐﻨﺪ ﮐﻪ هﻨﻮز ﻓﺎﯾﻞ هﺎ و ﺁدرس در ﺁﻧﺠﺎ ﻗﺮار دارد ﯾﺎ ﺧﻴﺮ .ﺳﭙﺲ در ﺻﻮرت وﺟﻮد ﻧﻴﺎﻓﺘﻦ ،ﯾﮏ ﻧﺴﺨﻪ از ﺧﻮد دوﺑﺎرﻩ در ﺁن ﮐﭙﯽ ﮐﻨﺪ. اﯾﻤﻦ ﺳﺎزی رﺟﻴﺴﺘﺮی ﺑﻪ ﺷﺎﺧﻪ رﺟﻴﺴﺘﺮی HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN رﻓﺘﻪ و ﺳﭙﺲ ﺑﺎ ﺗﻮﺿﻴﺤﺎﺗﯽ ﮐﻪ در ﺑﺎﻻ ﯾﺎد ﺷﺪ ،ﺑﻪ ﯾﺎﻓﺘﻦ ﯾﮑﯽ از ﺟﺰﺋﻴﺎت ﺑﭙﺮدازﯾﺪ و ﺳﭙﺲ ﮐﻠﻴﮏ راﺳﺖ را ﺑﺮ روی ﮔﺰﯾﻨﻪ ﻣﻮرد ﻧﻈﺮ زدﻩ و ﭘﺲ از ﺁن Deletرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ.
ﻧﮑﺘﻪ :ﺑﺎ اﯾﻦ ﮐﺎر ،دﯾﮕﺮ ﭘﺲ از دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ،ﮐﺮم هﺎ ﻗﺎدر ﺑﻪ ﺑﺎرﮔﺬاری ﻣﺠﺪد ﻧﻴﺴﺘﻨﺪ. ﻧﮑﺘﻪ :ﺑﺮای رﻓﺘﻦ ﺑﻪ رﺟﻴﺴﺘﺮی اﯾﻦ ﻣﺮاﺣﻞ را ﻃﯽ ﮐﻨﻴﺪ Start>RUN>Regedit از ﺑﻴﻦ ﺑﺮدن ﻓﺎﯾﻞ هﺎی اﺻﻠﯽ ﮐﺮم ﺳﭙﺲ ﺑﺎ رﻓﺘﻦ ﺑﺎ ﺷﺎﺧﻪ system32اﻗﺪام ﺑﻪ ﺟﺴﺘﺠﻮ ﻓﺎﯾﻞ هﺎی ذﮐﺮ ﺷﺪﻩ و ﺳﭙﺲ deletﮐﺮدن ﺁن ﺑﭙﺮدازﯾﺪ. ﭘﺲ از ﺁن ﺳﻴﺴﺘﻢ ﺧﺪ را دوﺑﺎرﻩ راﻩ اﻧﺪازی ﮐﻨﻴﺪ. دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﺮوﯾﺲ RPC اﺑﺘﺪا ﺑﺮ روی Startﮐﻠﻴﺪ ﻧﻤﺎﯾﻴﺪ ﺳﭙﺲ Runرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ .در ﺧﻂ ﻓﺮﻣﺎن ﻋﺒﺎرت service.msc /sرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ Enterرا ﺑﻔﺸﺎرﯾﺪ .ﭘﺲ از ﺁن در ﻟﻴﺴﺖ ﻣﻮﺟﻮد ) Remote Procedure Call ( RPCرا ﮐﻠﻴﮏ راﺳﺖ را زدﻩ ،از ﻣﻴﺎن ﮔﺰﯾﻨﻪ هﺎی ﻣﻮﺟﻮد Recover را اﻧﺘﺨﺎب ﮐﻨﻴﺪ .در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ هﺮ ﺳﻪ ﮔﺰﯾﻨﻪ Change Failure, Subswquent Failure First Failure, Secondرا ﺑﻪ Service Restart ﺗﻐﻴﻴﺮ دهﻴﺪ و Okرا ﮐﻠﻴﮏ ﮐﻨﻴﺪ. ﻧﮑﺘﻪ :اﯾﻦ ﻗﺒﻞ از اﻧﺠﺎم اﯾﻦ ﮐﺎر ﺳﻴﺴﺘﻢ از وﯾﺮوس ﭘﺎﮐﺴﺎزی ﺷﺪﻩ ﺑﺎﺷﺪ.
ﻣﺎﮐﺮوﺳﺎﻓﺖ ﺑﺮای اﯾﻦ ﻣﺸﮑﻞ اﻣﻨﻴﺘﯽ Patchاﯾﻤﻦ ﺳﺎز را اراﺋﻪ دادﻩ اﺳﺖ وﻟﯽ ﺑﻪ دﻟﻴﻞ اﯾﻨﮑﻪ ﮐﻼ روی ﻣﺎﮐﺮوﺳﺎﻓﺖ از ﻟﺤﺎظ اﻣﻨﻴﺘﯽ ﻧﻤﯽ ﺷﻮد ﺣﺴﺎب ﮐﺮد در ﻧﺘﻴﺠﻪ اﺑﺘﺪا Startرا ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺳﭙﺲ Runرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﻴﺪ .در ﺧﻂ ﻓﺮﻣﺎن dcomcnfgرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ ،ﺳﭙﺲ Enterرا ﻓﺸﺎر دهﻴﺪ .در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ ﺑﺮ روی Component serviceﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺳﭙﺲ ﻓﻮﻟﺪر Computersرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﻴﺪ .ﭘﺲ از ﺁن ﺑﺮ روی ﺁن Right Clickﮐﻨﻴﺪ و ﺳﭙﺲ Propertiesرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ .ﭘﺲ از ﺁن از ﻣﻴﺎن Tabهﺎی ﻣﻮﺟﻮد Properties Defualtرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ و ﭘﺲ از ﺁن Uncheckﮐﻨﻴﺪ ﮔﺰﯾﻨﻪ Computer Enable Distributed COM On This
اﯾﻦ روش ﺑﺎﻋﺚ از ﺑﻴﻦ رﻓﺘﻦ ﻣﺪت دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ﻧﺨﻮاهﺪ ﺷﺪ وﻟﯽ اﯾﻦ اﻣﮑﺎن را ﺑﻪ ﺷﻤﺎ ﻣﯽ دهﺪ ﮐﻪ ﺑﻪ اﻓﺰاﯾﺶ ﻣﺪت زﻣﺎن دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ اﻗﺪام ﮐﻨﻴﺪ. ﺑﺮای ﻣﺜﺎل ﮐﺎﻣﭙﻴﻮﺗﺮ ﺷﻤﺎ در ﺳﺎﻋﺖ 9:00ﺷﺎهﺪ ﭘﻴﻐﺎم دوﺑﺎرﻩ راﻩ اﻧﺪازی اﺳﺖ و در ﺳﺎﻋﺖ 9:01ﺳﻴﺴﺘﻢ ﺷﻤﺎ دوﺑﺎرﻩ راﻩ اﻧﺪازی ﻣﯽ ﺷﻮد .ﺣﺎل ﮐﺎﻓﻴﺴﺖ ﺳﺎﻋﺖ وﯾﻨﺪوز ﺧﻮد را ﺑﻪ هﻤﺎن ﻣﻘﺪار ﮐﻪ اﺣﺘﻴﺎج دارﯾﺪ ﺑﻪ ﻋﻘﺐ ﺑﮑﺸﻴﺪ. ﻋﻠﺖ وﺟﻮد داﺷﺘﻦ اﯾﻦ ﺑﺎگ در ﮐﺮم هﺎی ﺑﻠﺴﺘﺮ :هﮑﺮ هﺎ ﺑﺮای ﮐﻢ ﮐﺮدن ﺣﺠﻢ وﯾﺮوس ﺧﻮد دﯾﮕﺮ ﯾﮏ Timerﻃﺮاﺣﯽ ﻧﮑﺮدﻩ و در ﻧﺘﻴﺠﻪ از ﺳﺎﻋﺖ وﯾﻨﺪوز ﺑﺮای اﯾﻦ ﮐﺎر ﮐﻤﮏ ﮔﺮﻓﺘﻪ اﻧﺪ.
اﻣﻴﺪوارم از اﯾﻦ ﻣﻘﺎﻟﻪ ﻟﺬت ﺑﺮدﻩ ﺑﺎﺷﻴﺪ ﺑﺎ ﺗﺸﮑﺮ ﻟﺮد ﻧﺎﯾﮑﺎن ) ﺳﻬﻨﺪ (
– RPC – Remote Procedure Callﯾﮏ ﭘﺮوﺗﮑﻞ ﻣﯽ ﺑﺎﺷﺪ و در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز ﻧﻴﺰ ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد .اﯾﻦ ﭘﺮوﺗﮑﻞ ﯾﮏ ﻣﮑﺎﻧﻴﺰم InterProcessاﯾﺠﺎد ﻣﯽ ﮐﻨﺪ .اﯾﻦ Processاﯾﻦ اﺟﺎزﻩ را ﻣﯽ دهﺪ ﮐﻪ ﯾﮏ ﺑﺮﻧﺎﻣﻪ از ﯾﮏ ﮐﺎﻣﭙﻴﻮﺗﺮی ﺑﻪ ﮐﺪ اﺟﺮاﯾﯽ ﺑﺮ روی ﯾﮏ ﺳﻴﺴﺘﻢ دﯾﮕﺮ ﻣﻨﺘﻘﻞ ﺷﻮد RPC .ﺧﻮد ﻧﻴﺰ از – OSF – Open Software Foundationﮔﺮﻓﺘﻪ ﺷﺪﻩ اﺳﺖ ،ﭘﺲ از ﺁن ﻣﺎﮐﺮوﺳﺎﻓﺖ ﺑﺎ اﻓﺰودن ﭼﻨﺪ ﻣﺤﺼﻮل دﯾﮕﺮ ،ﺑﺮای ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺧﻮد ﻣﺤﺼﻮل ﺟﺪﯾﺪو ﭘﺮﮐﺎرﺑﺮدی را اﺿﺎﻓﻪ ﻧﻤﻮد. اﯾﻦ ﻣﺸﮑﻞ اﻣﻨﻴﺘﯽ در ﻗﺴﻤﺘﯽ از RPCﮐﻪ در ارﺗﺒﺎط ﺑﺎ ﺗﻐﻴﻴﺮ ﭘﻴﻐﺎم در TCP/IPﻣﯽ ﺑﺎﺷﺪ ،ﭘﺪﯾﺪ ﺁﻣﺪﻩ اﺳﺖ .ﺑﻪ اﯾﻦ دﻟﻴﻞ ﮐﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ رﺳﻴﺪﮔﯽ ﻧﺎدرﺳﺖ ﺑﻪ ﭘﻴﻐﺎم هﺎ ﺑﻪ ﻋﻤﻞ ﻣﯽ ﺁورد .اﯾﻦ ﺁﺳﻴﺐ ﭘﺬﯾﺮی ﺑﻪ ﺧﺼﻮص ،در DCOM – Distribute Component Object Modet ﮐﻪ ﺑﺮ روی RPCﻗﺮار دارد ﺑﻴﺸﺘﺮ ﺑﻪ ﭼﺸﻢ ﻣﯽ ﺧﻮرد. ﺑﺎ ﭘﻴﺪاﯾﺶ اﯾﻦ ﻣﺸﮑﻞ هﮑﺮ ﻗﺎدر اﺳﺖ از راﻩ دور دﺳﺘﺮﺳﯽ ﮐﺎﻣﻞ ﺑﺮ روی ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ داﺷﺘﻪ ﺑﺎﺷﺪ و ﺳﭙﺲ ﺑﺎ ﺑﺮﻧﺎﻣﻪ هﺎﯾﯽ ﻧﻈﻴﺮ Netcatو TFTPاز اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ اﺳﺘﻔﺎدﻩ ﻧﻤﺎﯾﺪ. : NetCatﻧﺖ ﮐﺖ ﮐﻪ ﺑﻪ ﭼﺎﻗﻮی هﻤﻪ ﮐﺎرﻩ ارﺗﺶ اﻟﮑﺘﺮوﻧﻴﮑﯽ ﺳﻮﺋﻴﺲ ﻣﻌﺮوف اﺳﺖ .ﺑﻪ ﻧﻔﻮذﮔﺮ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دهﺪ ﮐﻪ ﺑﻪ ﭘﻮرت هﺎی ﻣﺨﺘﻠﻒ در ﺷﺒﮑﻪ و ...ﻣﺘﺼﻞ ﺷﻮد .ﺑﺮای ﻣﺜﺎل از راﻩ دور ﻓﺎﯾﻞ اﺟﺮا ﮐﻨﺪ و . ... : TFTPﯾﮑﯽ از ﺑﺴﺘﮕﺎن FTPﻣﯽ ﺑﺎﺷﺪ ﮐﻪ وﻇﻴﻔﻪ اﻧﺘﻘﺎل اﻃﻼﻋﺎت را داراﺳﺖ.
اﯾﻦ ﮐﺮم هﺎ ﺑﺎ اﺳﺘﻔﺎدﻩ از ﺁﺳﻴﺐ ﭘﺬﯾﺮی وﯾﻨﺪوز از ﭘﻮرت 135وارد ﺳﻴﺴﺘﻢ ﻣﯽ ﺷﻮﻧﺪ و ﺑﺴﺘﻪ ﺑﻪ ﻧﻮع ﮐﺮم ﮐﺎرهﺎی ﻣﺘﻔﺎوﺗﯽ را اﻧﺠﺎم ﻣﯽ دهﻨﺪ ،از ﻣﻌﻤﻮﻟﺘﺮﯾﻦ ﮐﺎرهﺎ ،اﻗﺪام ﺑﻪ Denial Of Serviceﺑﺮ روی windowsupdate.comﻣﯽ ﺑﺎﺷﺪ. ﻧﮑﺘﻪ :ارﺳﺎل ﯾﮏ SYN FLOODﺑﺮ روی ﭘﻮرت 80ﺑﺮای windowsupdate.comﮐﻪ دارای 50ﻋﺪد Packets HTTPدر هﺮ دﻗﻴﻘﻪ ﻣﯽ ﺑﺎﺷﺪ و هﺮ ﭘﮑﺖ دارای 40ﺑﺎﯾﺖ. اﻗﺪام ﺑﻪ ﺣﻤﻼت داس ﺑﺮ روی رﻧﺞ هﺎی IP ﺑﺎﻋﺚ Crashﮐﺮدن DCOMﻣﯽ ﺷﻮد و در ﻧﺘﻴﺠﻪ ﮐﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﭘﺲ از 1دﻗﻴﻘﻪ راﻩ اﻧﺪازﻩ ﻣﯽ ﺷﻮد.
ﻧﮑﺘﻪ :اﯾﻦ ﮐﺮم هﺎ از ﭘﻮرت هﺎی TCP 4444و از ﭘﻮرت UDP 69ﮐﻪ ﺑﺮای ﻧﺮم اﻓﺰار TFTPﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد ﻧﻴﺰ ﺟﻬﺖ ﻣﻨﺘﺸﺮ ﺷﺪن اﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﻨﺪ. ﻧﮑﺘﻪ :اﯾﻦ ﮐﺮم هﺎ ﺧﻮد را ﺑﺮ روی RUNرﺟﻴﺴﺘﺮی ﻗﺮار ﻣﯽ دهﻨﺪ ﺗﺎ ﭘﺲ از هﺮ ﺑﺎر راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﺑﺮ روی ﺳﻴﺴﺘﻢ اﺟﺮا ﺷﻮﻧﺪ.
: W32Blaster ﺗﻮﺿﻴﺢ ﻣﺨﺘﺼﺮ :اﯾﻦ ﻧﺴﺨﻪ را ﻣﯽ ﺗﻮان ﭘﺪر ﮐﺮم هﺎی ﺑﻠﺴﺘﺮ ﻧﺎم ﮔﺬاری ﮐﺮد ﺣﺠﻢ 6.176 :ﺑﺎﯾﺖ ﭘﺲ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﻓﺎﯾﻞ msblastرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی = “ms blast.exe “ windows auto updateرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ. و در اداﻣﻪ ﺧﻄﺎب ﺑﻪ ﻣﻮﺳﺲ ﻣﺎﮐﺮوﺳﺎﻓﺖ : I Just Want to Say Love You San Billy Gates Why Do You Make This Possible? Stop Maiking Money And Fix Your Software : W32Blaster.B ﺗﻮﺿﻴﺢ :اﯾﻦ ﻧﺴﺨﻪ ﻃﺒﻖ ﺁﻣﺎر ﮔﺮوﻩ اﻣﻨﻴﺘﯽ Hat-Squadدر اﯾﺮان ﺑﻴﺸﺘﺮ ﺑﻪ ﭼﺸﻢ ﻣﯽ ﺧﻮرد. ﺣﺠﻢ 7.200 :ﺑﺎﯾﺖ ﭘﺲ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﻓﺎﯾﻞ penis32.exeرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی ” “peinis32.exe= updatw Windows autoدر ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ : W32Blaster.C ﺗﻮﺿﻴﺢ :اﯾﻦ ﻧﺴﺨﻪ ﻧﻴﺰ ﻣﺘﺸﮑﺮ از ﯾﮏ Backdoorﺑﻪ هﻤﺮاﻩ ﯾﮏ ﺗﺮوﺟﺎن در ﮐﻨﺎر ﮐﺮم ﻣﯽ ﺑﺎﺷﺪ .اﯾﻦ ﮐﺮم ﭘﺲ از ورود ﻓﺎﯾﻞ Teekids.exe را در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ و ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی “ “ Teekids.exe = .. Microsoft Intel XPرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ. ﻧﮑﺘﻪ :ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ اﯾﻦ ﮐﺮم از 3ﻓﺎﯾﻞ اﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﻋﺒﺎرﺗﻨﺪ از : : Index.exeدر اﺑﺘﺪا اﯾﻦ ﻓﺎﯾﻞ وارد ﮐﺎﻣﭙﻴﻮﺗﺮ ﺷﺪﻩ ﺳﭙﺲ ﻗﻄﻌﺎت دﯾﮕﺮ ﮐﺮم را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺗﺤﺖ ﻋﻨﻮان W32Blaster.C.Worm ﺗﻮﺳﻂ ﺿﺪ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد. ﺣﺠﻢ 32.045 :ﺑﺎﯾﺖ : Root32.exeﯾﮏ ﺗﺮﮐﻴﺐ Backdoorﮐﻪ ﺑﺎ ﻧﺎم Lithiumﺗﻮﺳﻂ ﺿﺪ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد. ﺣﺠﻢ 19.798 :ﺑﺎﯾﺖ : Teekids.exeﻓﺎﯾﻞ اﺻﻠﯽ ﮐﺮم ﮐﻪ ﺑﺎ ﻧﺎم W32Blaster.C.Wormﺗﻮﺳﻂ ﺁﻧﺘﯽ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد. ﺣﺠﻢ 5.360 :ﺑﺎﯾﺖ : W32Blaster.D ﺗﻮﺿﻴﺢ :اﯾﻦ ﮐﺮم ﻧﻴﺰ ﻣﺎﻧﻨﺪ ﻧﺴﺨﻪ اول در رﺟﻴﺴﺘﺮی ﺧﻄﺎب ﺑﻪ ﺑﻴﻞ ﮔﻴﺘﺲ ﺳﺨﻦ ﻣﯽ ﮔﻮﯾﺪ. ﺣﺠﻢ 11.776 :ﺑﺎﯾﺖ
ﭘﺲ از ورود ﻓﺎﯾﻞ Mspatchرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی “mspatch.exe = AntiVIrus “ Nontonرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUﻗﺮار ﻣﯽ دهﺪ. ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ : I Just Want To Say Love You SAN Billy Gates Why Do you Make This possible? Stop Making Money And Fix Your Software : W32Blaster.E ﺗﻮﺿﻴﺢ :اﯾﻦ ﮐﺮم ﭘﺲ از اﺟﺮا اﻗﺪام ﺑﻪ DoSﺁی ﭘﯽ 127.0.0.1ﻣﯽ ﮐﻨﺪ ) .اﯾﻦ ﺁی ﭘﯽ ،در هﻤﻪ ﮐﺎﻣﭙﻴﻮﺗﺮهﺎ رزرو ﺷﺪﻩ ﻣﯽ ﺑﺎﺷﺪ و ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻧﻤﯽ ﮔﻴﺮﻧﺪ وﻟﯽ ﺻﺮﻓﺎ ﺑﺮای اﺳﺘﻔﺎدﻩ هﻤﺎن ﮐﺎﻣﭙﻴﻮﺗﺮ ﺑﺮای ﺧﻮد ﻣﻮرداﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد( . ﺣﺠﻢ 6.176 :ﺑﺎﯾﺖ ﭘﺲ از اﺟﺮا ﻓﺎﯾﻞ Mslaugh.exeرا در ﺷﺎﺧﻪ windows/system32ﻗﺮار ﻣﯽ دهﺪ .و ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی = “ mslaugh.exe “ windows automationرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ. و ﺳﭙﺲ ﭘﻴﻐﺎم Forget The Promise for me B/DAY this particular strain to me ANG3L – hope yer enjoying yerself and don’t I Dedicate را در رﺟﻴﺴﺘﺮی ﻗﺮار ﻣﯽ دهﺪ. : W32Blaster.F ﺗﻮﺿﻴﺢ :ﺑﻪ ﻧﻈﺮ ﺑﺴﻴﺎری از ﻣﺴﺌﻮﻻن اﻣﻨﻴﺖ اﯾﻦ ﺁﺧﺮﯾﻦ ﻧﺴﺨﻪ از ﮐﺮم ﺑﻠﺴﺘﺮ ﻣﯽ ﺑﺎﺷﺪ. ﺣﺠﻢ 11.808 : اﯾﻦ ﮐﺮم ﻧﻴﺰ ﭘﺲ از اﺟﺮا Enbiei.exeرا در windows/system32را ﻗﺮار ﻣﯽ دهﺪ .ﺳﭙﺲ در رﺟﻴﺴﺘﺮی www.hidro.4t.comرا در ﺷﺎﺧﻪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNﻗﺮار ﻣﯽ دهﺪ
= “ Enbiei.exe
در ﺻﻮرﺗﯽ ﮐﻪ ﯾﮑﯽ از اﯾﻦ ﮐﺮم هﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ را ﺁﻟﻮدﻩ ﻧﻤﻮدﻩ اﻧﺪ ﺑﻪ ﺗﺮﺗﻴﺐ ﻣﺮاﺣﻞ زﯾﺮ را ﻣﺮﺣﻠﻪ ﺑﻪ ﻣﺮﺣﻠﻪ اﻧﺠﺎم دهﻴﺪ : ﺧﺎرج ﮐﺮدن از ﻓﺎﯾﻞ هﺎی اﺟﺮاﯾﯽ اﺑﺘﺪا ﮐﻠﻴﺪ هﺎی CTRL+ALT+DELETرا ﺑﺎ هﻢ ﺑﻔﺸﺎرﯾﺪ .ﺳﭙﺲ دﮐﻤﻪ Processeرا ﻓﺸﺎر دهﻴﺪ و ﺑﻪ ﺟﺴﺘﺠﻮی ﻓﺎﯾﻞ هﺎ ) ﮐﻪ در ﺑﺎﻻ ﺑﻪ ﺁﻧﻬﺎ اﺷﺎرﻩ ﺷﺪ ( ﺑﭙﺮدازﯾﺪ و ﭘﺲ از ﯾﺎﻓﺘﻦ ﯾﮏ ﺑﺎر ﺑﺮ روی ﺁﻧﻬﺎ ﮐﻠﻴﮏ ﭼﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ دﮐﻤﻪ End Processرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ. ﻧﮑﺘﻪ :در اﯾﻦ ﻣﮑﺎن ﻓﺎﯾﻞ هﺎﯾﯽ ﮐﻪ در هﻤﻴﻦ ﻟﺤﻈﻪ در ﺳﻴﺴﺘﻢ ﺷﻤﺎ در ﺣﺎل اﺟﺮا ﻣﯽ ﺑﺎﺷﻨﺪ ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ و ﻧﺸﺎن دادﻩ ﻣﯽ ﺷﻮد. ﻧﮑﺘﻪ :ﻣﻌﻤﻮﻻ ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﺎن ﺑﺎ ﻧﻮﺷﺘﻦ ﯾﮏ ﺧﻂ در ﺑﺮﻧﺎﻣﻪ ﺧﻮد ،ﺑﻪ وﯾﺮوس اﻋﻼم ﻣﯽ ﮐﻨﻨﺪ در ﺻﻮرﺗﯽ ﮐﻪ ﺳﻴﺴﺘﻢ در ﺣﺎﻟﺖ ﺧﺎﻣﻮش ﺷﺪن اﺳﺖ ،ﺑﻪ رﺟﻴﺴﺘﺮی و ﺁدرس ﺷﺎﺧﻪ وﯾﻨﺪوز رﻓﺘﻪ و ﻧﮕﺎﻩ ﮐﻨﺪ ﮐﻪ هﻨﻮز ﻓﺎﯾﻞ هﺎ و ﺁدرس در ﺁﻧﺠﺎ ﻗﺮار دارد ﯾﺎ ﺧﻴﺮ .ﺳﭙﺲ در ﺻﻮرت وﺟﻮد ﻧﻴﺎﻓﺘﻦ ،ﯾﮏ ﻧﺴﺨﻪ از ﺧﻮد دوﺑﺎرﻩ در ﺁن ﮐﭙﯽ ﮐﻨﺪ. اﯾﻤﻦ ﺳﺎزی رﺟﻴﺴﺘﺮی ﺑﻪ ﺷﺎﺧﻪ رﺟﻴﺴﺘﺮی HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN رﻓﺘﻪ و ﺳﭙﺲ ﺑﺎ ﺗﻮﺿﻴﺤﺎﺗﯽ ﮐﻪ در ﺑﺎﻻ ﯾﺎد ﺷﺪ ،ﺑﻪ ﯾﺎﻓﺘﻦ ﯾﮑﯽ از ﺟﺰﺋﻴﺎت ﺑﭙﺮدازﯾﺪ و ﺳﭙﺲ ﮐﻠﻴﮏ راﺳﺖ را ﺑﺮ روی ﮔﺰﯾﻨﻪ ﻣﻮرد ﻧﻈﺮ زدﻩ و ﭘﺲ از ﺁن Deletرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ.
ﻧﮑﺘﻪ :ﺑﺎ اﯾﻦ ﮐﺎر ،دﯾﮕﺮ ﭘﺲ از دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ،ﮐﺮم هﺎ ﻗﺎدر ﺑﻪ ﺑﺎرﮔﺬاری ﻣﺠﺪد ﻧﻴﺴﺘﻨﺪ. ﻧﮑﺘﻪ :ﺑﺮای رﻓﺘﻦ ﺑﻪ رﺟﻴﺴﺘﺮی اﯾﻦ ﻣﺮاﺣﻞ را ﻃﯽ ﮐﻨﻴﺪ Start>RUN>Regedit از ﺑﻴﻦ ﺑﺮدن ﻓﺎﯾﻞ هﺎی اﺻﻠﯽ ﮐﺮم ﺳﭙﺲ ﺑﺎ رﻓﺘﻦ ﺑﺎ ﺷﺎﺧﻪ system32اﻗﺪام ﺑﻪ ﺟﺴﺘﺠﻮ ﻓﺎﯾﻞ هﺎی ذﮐﺮ ﺷﺪﻩ و ﺳﭙﺲ deletﮐﺮدن ﺁن ﺑﭙﺮدازﯾﺪ. ﭘﺲ از ﺁن ﺳﻴﺴﺘﻢ ﺧﺪ را دوﺑﺎرﻩ راﻩ اﻧﺪازی ﮐﻨﻴﺪ. دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﺮوﯾﺲ RPC اﺑﺘﺪا ﺑﺮ روی Startﮐﻠﻴﺪ ﻧﻤﺎﯾﻴﺪ ﺳﭙﺲ Runرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ .در ﺧﻂ ﻓﺮﻣﺎن ﻋﺒﺎرت service.msc /sرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ Enterرا ﺑﻔﺸﺎرﯾﺪ .ﭘﺲ از ﺁن در ﻟﻴﺴﺖ ﻣﻮﺟﻮد ) Remote Procedure Call ( RPCرا ﮐﻠﻴﮏ راﺳﺖ را زدﻩ ،از ﻣﻴﺎن ﮔﺰﯾﻨﻪ هﺎی ﻣﻮﺟﻮد Recover را اﻧﺘﺨﺎب ﮐﻨﻴﺪ .در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ هﺮ ﺳﻪ ﮔﺰﯾﻨﻪ Change Failure, Subswquent Failure First Failure, Secondرا ﺑﻪ Service Restart ﺗﻐﻴﻴﺮ دهﻴﺪ و Okرا ﮐﻠﻴﮏ ﮐﻨﻴﺪ. ﻧﮑﺘﻪ :اﯾﻦ ﻗﺒﻞ از اﻧﺠﺎم اﯾﻦ ﮐﺎر ﺳﻴﺴﺘﻢ از وﯾﺮوس ﭘﺎﮐﺴﺎزی ﺷﺪﻩ ﺑﺎﺷﺪ.
ﻣﺎﮐﺮوﺳﺎﻓﺖ ﺑﺮای اﯾﻦ ﻣﺸﮑﻞ اﻣﻨﻴﺘﯽ Patchاﯾﻤﻦ ﺳﺎز را اراﺋﻪ دادﻩ اﺳﺖ وﻟﯽ ﺑﻪ دﻟﻴﻞ اﯾﻨﮑﻪ ﮐﻼ روی ﻣﺎﮐﺮوﺳﺎﻓﺖ از ﻟﺤﺎظ اﻣﻨﻴﺘﯽ ﻧﻤﯽ ﺷﻮد ﺣﺴﺎب ﮐﺮد در ﻧﺘﻴﺠﻪ اﺑﺘﺪا Startرا ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺳﭙﺲ Runرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﻴﺪ .در ﺧﻂ ﻓﺮﻣﺎن dcomcnfgرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ ،ﺳﭙﺲ Enterرا ﻓﺸﺎر دهﻴﺪ .در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ ﺑﺮ روی Component serviceﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺳﭙﺲ ﻓﻮﻟﺪر Computersرا اﻧﺘﺨﺎب ﻧﻤﺎﯾﻴﺪ .ﭘﺲ از ﺁن ﺑﺮ روی ﺁن Right Clickﮐﻨﻴﺪ و ﺳﭙﺲ Propertiesرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ .ﭘﺲ از ﺁن از ﻣﻴﺎن Tabهﺎی ﻣﻮﺟﻮد Properties Defualtرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ و ﭘﺲ از ﺁن Uncheckﮐﻨﻴﺪ ﮔﺰﯾﻨﻪ Computer Enable Distributed COM On This
اﯾﻦ روش ﺑﺎﻋﺚ از ﺑﻴﻦ رﻓﺘﻦ ﻣﺪت دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ﻧﺨﻮاهﺪ ﺷﺪ وﻟﯽ اﯾﻦ اﻣﮑﺎن را ﺑﻪ ﺷﻤﺎ ﻣﯽ دهﺪ ﮐﻪ ﺑﻪ اﻓﺰاﯾﺶ ﻣﺪت زﻣﺎن دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ اﻗﺪام ﮐﻨﻴﺪ. ﺑﺮای ﻣﺜﺎل ﮐﺎﻣﭙﻴﻮﺗﺮ ﺷﻤﺎ در ﺳﺎﻋﺖ 9:00ﺷﺎهﺪ ﭘﻴﻐﺎم دوﺑﺎرﻩ راﻩ اﻧﺪازی اﺳﺖ و در ﺳﺎﻋﺖ 9:01ﺳﻴﺴﺘﻢ ﺷﻤﺎ دوﺑﺎرﻩ راﻩ اﻧﺪازی ﻣﯽ ﺷﻮد .ﺣﺎل ﮐﺎﻓﻴﺴﺖ ﺳﺎﻋﺖ وﯾﻨﺪوز ﺧﻮد را ﺑﻪ هﻤﺎن ﻣﻘﺪار ﮐﻪ اﺣﺘﻴﺎج دارﯾﺪ ﺑﻪ ﻋﻘﺐ ﺑﮑﺸﻴﺪ. ﻋﻠﺖ وﺟﻮد داﺷﺘﻦ اﯾﻦ ﺑﺎگ در ﮐﺮم هﺎی ﺑﻠﺴﺘﺮ :هﮑﺮ هﺎ ﺑﺮای ﮐﻢ ﮐﺮدن ﺣﺠﻢ وﯾﺮوس ﺧﻮد دﯾﮕﺮ ﯾﮏ Timerﻃﺮاﺣﯽ ﻧﮑﺮدﻩ و در ﻧﺘﻴﺠﻪ از ﺳﺎﻋﺖ وﯾﻨﺪوز ﺑﺮای اﯾﻦ ﮐﺎر ﮐﻤﮏ ﮔﺮﻓﺘﻪ اﻧﺪ.
اﻣﻴﺪوارم از اﯾﻦ ﻣﻘﺎﻟﻪ ﻟﺬت ﺑﺮدﻩ ﺑﺎﺷﻴﺪ ﺑﺎ ﺗﺸﮑﺮ ﻟﺮد ﻧﺎﯾﮑﺎن ) ﺳﻬﻨﺪ (
Related Documents
Blaster
November 2019 20
Boot Blaster
May 2020 19
Zero Blaster
November 2019 27
Bomb Blaster
October 2019 25
Blaster Case Study White Paper
August 2019 18